Lær om DNS Cache-spoofing og DNS Cache-forgiftning

DNS står for Domain Name System, og det hjelper en nettleser med å finne IP-adressen til et nettsted slik at den kan laste den inn på datamaskinen din. DNS-cachen er en fil på Internett-leverandøren eller datamaskinen din som inneholder en liste over IP-adresser til ofte brukte nettsteder. Denne artikkelen forklarer hva DNS Cache Poisoning og DNS Cache Spoofing er.

• Hva er en IP-adresse?

Forgiftning av DNS-cachen

Hver gang en bruker legger inn en nettadresse i nettleseren sin, vil nettleseren kontakte en lokal fil (DNS Cache) for å se om det er noen oppføringer som ligner på nettstedets IP-adresse. Nettlesere trenger IP-adressene til nettsteder slik at de kan koble til dem. Det er ikke mulig å bare bruke URL-en for å koble direkte til nettstedet. Den må være koblet til en passende IPv4- eller IPv6- IP-adresse. Hvis posten er der, vil nettleseren bruke den; ellers vil den gå til en DNS-server for å få IP-adressen. Dette kalles DNS-oppslag.

En DNS-cache opprettes på datamaskinen eller ISP-DNS-serveren din, slik at tiden som brukes på å søke etter DNS-en til en URL reduseres. I utgangspunktet er DNS-cacher små filer som inneholder IP-adressene til forskjellige nettsteder som vanligvis brukes på datamaskiner eller nettverk. Før de kontakter DNS-serveren, kontakter datamaskiner på nettverket den lokale serveren for å se om det er noen oppføringer i DNS-cachen. Hvis det er det, vil datamaskinen bruke det. Ellers vil serveren kontakte DNS-serveren og hente den IP-adressen. Den vil da oppdatere den lokale DNS-cachen med den nyeste IP-adressen for nettstedet.

Hver oppføring i DNS-cachen er tidsbegrenset, avhengig av operativsystemet og nøyaktigheten til DNS-oppløsningen. Etter utløp vil datamaskinen eller serveren som inneholder DNS-cachen kontakte DNS-serveren og oppdatere oppføringen slik at informasjonen er korrekt.

Imidlertid er det folk som ønsker å forgifte DNS-cachen for ondsinnede formål.

Cache-forgiftning betyr å endre den faktiske verdien av URL-en. Nettkriminelle kan for eksempel lage et nettsted som ser ut som xyz.com og importere DNS-postene til DNS-bufferen din. Derfor, når du skriver inn xyz.com i nettleserens adresselinje, får den andre nettleseren IP-adressen til den falske nettsiden og tar deg dit, i stedet for den virkelige nettsiden. Dette kalles Pharming. Ved å bruke denne metoden kan cyberkriminelle oppdage påloggingsinformasjonen din og mye annen informasjon som kortdetaljer, personnummer, telefonnummer etc. for å stjele data. DNS-bufferforgiftning gjøres også for å introdusere skadelig programvare til datamaskinen eller nettverket. Når du besøker et falskt nettsted med en infisert DNS-cache, kan kriminelle gjøre hva de vil.

Noen ganger, i stedet for en lokal cache, kan kriminelle også sette opp falske DNS-servere slik at når de blir spurt, kan de sende ut falske IP-adresser . Dette er et høyt nivå av DNS-forgiftning og ødelegger de fleste DNS-cachene i en bestemt region, og påvirker dermed flere brukere.

DNS-bufferforfalskning

DNS-spoofing er en type angrep som innebærer å etterligne DNS-serversvar, for å presentere falsk informasjon. I et forfalskningsangrep prøver en hacker å gjette at en DNS-klient eller server har sendt en DNS-spørring og venter på et DNS-svar. Et vellykket spoofing-angrep setter inn et falskt DNS-svar i DNS-serverbufferen. Denne prosessen kalles cache-forgiftning. En useriøs DNS-server har ingen mulighet til å bekrefte at DNS-data er autentiske og vil svare fra bufferen ved å bruke forfalsket informasjon.

DNS-cache-forfalskning virker lik DNS-cache-forgiftning, men det er en liten forskjell. DNS-cache-spoofing er et sett med metoder som brukes til å forgifte en DNS-cache. Dette kan være en tvungen inngang til datanettverksserveren for å endre og kontrollere DNS-cachen. Dette kan sette opp en falsk DNS-server til å sende falske svar når det blir spurt. Det er mange måter å forgifte en DNS-cache på, og en av de vanlige måtene er DNS Cache-spoofing.

Tiltak for å forhindre DNS-cacheforgiftning

Det er ikke mange metoder som kan forhindre DNS-cacheforgiftning. Den beste tilnærmingen er å skalere opp sikkerhetssystemet, slik at ingen angripere kan kompromittere nettverket ditt og påvirke den lokale DNS-bufferen. Bruk av en god brannmur kan oppdage DNS-cache-forgiftningsangrep. Å tømme DNS-bufferen regelmessig er også et alternativ du kan vurdere.

I tillegg til å skalere sikkerhetssystemer, bør administratorer oppdatere maskinvaren og programvaren for å holde eksisterende systemer sikre. Operativsystemet skal være feilrettet med de siste oppdateringene og bør ikke ha noen utgående tredjepartskoblinger. Serveren må være det eneste grensesnittet mellom nettverket og Internett og må være beskyttet av en god brannmur .

• Brannmurløsning for små og mellomstore bedrifter

Tillitsforholdene til serverne i nettverket må skyves høyere, slik at de ikke ber om noen annen server for DNS-oppløsning . På den måten kan bare servere med ekte sertifikater kommunisere med nettverksservere mens de løser DNS-servere.

Tidsintervallet for hver oppføring i DNS-cachen bør være kort slik at DNS-poster hentes hyppigere og oppdatert. Dette kan også bety lengre intervaller når du kobler til nettsteder (bare av og til), men vil redusere risikoen for å bruke en kontaminert cache.

DNS Cache Locking bør konfigureres til 90 % eller høyere på Windows-systemet. Bufferlåsing i Windows Server lar deg kontrollere om informasjon i DNS-hurtigbufferen overskrives.

Bruk DNS Socket Pool fordi det lar en DNS-server bruke kildeporten tilfeldig når den utsteder DNS-spørringer. Dette gir økt sikkerhet mot cache-forgiftningsangrep (ifølge TechNet).

Domain Name System Security Extensions (DNSSEC) - Domain Name System Security Extensions - er et sett med utvidelser for Windows Server som legger til ekstra sikkerhet til DNS-protokollen.

Se mer:

• Lær om Man in the Middle-angrep - Session hijacking
• Lær om DNS-kapring og hvordan du forhindrer det!
• Lær om Man-in-the-Middle-angrep – ARP Cache Spoofing